Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Malware AntiDot pro Android

Malware AntiDot pro Android

V roce Mezo v roce Mobilní malware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili informace o AntiDotu, sofistikovaném malwaru pro Android, který infikoval tisíce zařízení prostřednictvím stovek škodlivých kampaní. Tento malware, spojený s hackerskou hrozbou známou jako LARVA-398, ilustruje rostoucí nebezpečí, které představují mobilní nabídky malwaru jako služby (MaaS) na dark webu.

Rostoucí hrozba: Rozsah a rozsah útoku

AntiDot byl spojován s 273 různými kampaněmi, které napadly více než 3 775 zařízení Android. Kampaně jsou vysoce cílené, často založené na jazyce a geografické poloze, což naznačuje selektivní profilování obětí. Malware je distribuován především prostřednictvím škodlivých reklamních sítí a phishingových kampaní, včetně falešných aktualizací Google Play.

MaaS pro mobilní zařízení: Obchodní model LARVA-398

AntiDot, propagovaný jako řešení „tři v jednom“, se prodává na podzemních fórech a poskytuje aktérům hackerských útoků výkonnou sadu nástrojů pro:

  • Nahrávání obrazovky prostřednictvím zneužití přístupnosti
  • Odposlech SMS zpráv
  • Extrakce dat z aplikací třetích stran

Tato komercializace jej zpřístupnila širšímu spektru kyberzločinců, což snižuje bariéru pro spuštění pokročilých mobilních útoků.

Pokročilé možnosti: Co AntiDot dokáže

AntiDot je vybaven širokou škálou škodlivých funkcí, které útočníkům umožňují udržovat si trvalou a nenápadnou kontrolu nad infikovanými zařízeními. Provádí překryvné útoky zobrazováním falešných přihlašovacích obrazovek, které přesvědčivě napodobují legitimní aplikace, a tím krade uživatelské přihlašovací údaje. Malware také zaznamenává stisky kláves a monitoruje obsah obrazovky, aby zachytil citlivé informace. Pomocí rozhraní MediaProjection API systému Android může zařízení vzdáleně ovládat a zároveň udržovat komunikaci v reálném čase se svými velitelskými a kontrolními servery prostřednictvím připojení WebSocket.

AntiDot zneužívá služby přístupnosti ke shromažďování rozsáhlých dat ze zařízení a nastavuje se jako výchozí SMS aplikace pro zachycení příchozích a odchozích zpráv. Kromě toho manipuluje s telefonními hovory tím, že je blokuje nebo přesměrovává, a potlačuje oznámení, aby uživatele neupozornila na jakoukoli podezřelou aktivitu. Tyto funkce dohromady poskytují útočníkům komplexní přístup a kontrolu nad zařízením oběti.

Dodací řetězec: Třífázový proces infekce

Malware je dodáván ve vícestupňovém formátu:

Počáteční soubor APK – Distribuován jako součást phishingu nebo falešných aktualizací.

Dynamické načítání tříd – Během instalace se načtou obfuskované třídy, které nejsou v souboru APK přítomny.

Spuštění souboru DEX – Po získání oprávnění k přístupu malware rozbalí a načte škodlivý soubor DEX obsahující kód botnetu.

Používání komerčních packerů a šifrovaných dat společností AntiDot výrazně brání detekci a reverznímu inženýrství.

Falešná rozhraní a krádež přihlašovacích údajů

Klíčovou taktikou AntiDot je zobrazování falešných přihlašovacích obrazovek, když uživatelé otevírají kryptoměnové nebo finanční aplikace. Tyto obrazovky jsou načítány v reálném čase ze serveru Command-and-Control (C2), což útočníkům umožňuje získat citlivé přihlašovací údaje, aniž by vzbudili podezření uživatele.

Infrastruktura C2 společnosti AntiDot: Postavena pro efektivitu

Panel vzdáleného ovládání malwaru je postaven na MeteorJS, což umožňuje bezproblémovou interakci s infikovanými zařízeními v reálném čase. Panel obsahuje šest odlišných sekcí:

  • Boti: Zobrazuje infikovaná zařízení a jejich metadata
  • Injektuje: Vypíše cílové aplikace pro překryvné útoky a šablony
  • Analytické: Sleduje nainstalované aplikace za účelem identifikace trendů a budoucích cílů.
  • Nastavení: Řídí parametry vkládání malwaru a chování malwaru
  • Brány: Spravuje koncové body komunikace s boty
  • Nápověda: Poskytuje uživatelskou podporu pro provozovatele malwaru

Lokalizované a přetrvávající: Skutečné nebezpečí AntiDotu

AntiDot je víc než jen další trojský kůň pro Android, je to škálovatelná a úhybná platforma MaaS, která se zaměřuje na finanční podvody prostřednictvím lokalizovaného cílení. Díky technikám, jako je WebView injection, krádež přihlašovacích údajů na základě překrytí a komunikace C2 v reálném čase, představuje vážnou hrozbu pro soukromí uživatelů a mobilní bezpečnost.

Výzkumníci varují, že rostoucí využívání a vyvíjející se taktiky AntiDotu zdůrazňují naléhavou potřebu vylepšených bezpečnostních postupů pro Android, pravidelných aktualizací a povědomí uživatelů o tom, jak bojovat proti stále nenápadnějším hrozbám, jako je tato.

Trendy

Nejvíce shlédnuto

Načítání...